Sellafield, la capital mundial del plutonio: del poder atómico a la vergüenza digital

La compañía que administra la mayor instalación nuclear del Reino Unido, Sellafield, ha admitido su culpabilidad en tres cargos criminales relacionados con violaciones de ciberseguridad. El caso se ha convertido en un referente en la práctica judicial, y el representante legal de la empresa negó en el tribunal las afirmaciones sobre ataques de hackers en la instalación.

A principios de 2023, la Oficina de Regulación Nuclear del Reino Unido (Office for Nuclear Regulation, ONR) presentó cargos contra el operador de Sellafield por violaciones de seguridad de la información desde 2019 hasta principios de 2023. La audiencia del caso está programada para el 8 de agosto.

En 2023, una investigación de The Guardian reveló que altos funcionarios ocultaron constantemente información sobre los ataques. No se sabe cuándo se comprometieron por primera vez los sistemas, pero las primeras violaciones se detectaron en 2015. Se descubrió un malware "dormido" en las redes de Sellafield que podría utilizarse para el espionaje hasta hoy.

Este caso es el primero presentado por la ONR bajo el Reglamento de Seguridad de la Industria Nuclear de 2003, que exige que las instalaciones nucleares cumplan con los estándares establecidos para sus planes de seguridad física y de TI. Los cargos siguieron al informe anual de la ONR, que reveló que Sellafield ya estaba bajo una mayor vigilancia de los reguladores debido a deficiencias en la ciberseguridad.

Sellafield almacena más plutonio que cualquier otra instalación en el mundo e incluye diversas instalaciones para el desmantelamiento, procesamiento y almacenamiento de residuos nucleares. Aunque el reactor de Sellafield se detuvo en 2003, sigue siendo el mayor complejo nuclear de Europa, ocupando 6 kilómetros cuadrados en Cumbria. La ONR considera a Sellafield una de las instalaciones nucleares más complejas y peligrosas del mundo.

Los cargos de la ONR se refieren a violaciones procedimentales y no a ataques de hackers específicos:

• Incumplimiento del plan de seguridad debido a la falta de revisiones anuales de los sistemas de TI por parte de un inspector autorizado;
• Incumplimiento del plan de seguridad debido a la falta de revisiones anuales de los sistemas operativos por parte de un inspector autorizado;
• Protección insuficiente de la información nuclear confidencial en la red de TI.

El representante legal de Sellafield declaró en el tribunal que la admisión de culpabilidad por parte de la compañía refleja la existencia de sistemas de ciberseguridad que no funcionaron correctamente durante un período de tiempo. Se enfatiza que no ha habido ni hay ataques cibernéticos exitosos en Sellafield. Los cargos se refieren al pasado y no reflejan la situación actual.

Los detalles de las violaciones aún no se han hecho públicos. Se espera que los detalles se publiquen junto con la sentencia. Un representante de la ONR señaló que no hay pruebas de uso de las vulnerabilidades. Dado el litigio en curso, la ONR y Sellafield no proporcionan comentarios adicionales.